SCMB用のCA署名済みクライアント証明書の作成
以下の手順では、State Change Message Bus(SCMB)への接続に使用できるCA署名済みクライアント証明書を生成する方法について説明します。
前提条件
OpenSSLがインストールされている環境、または同等の環境。
署名リクエストのための商用またはカスタム認証機関(CA)へのアクセス。
手順
-
クライアント証明書の新しいキーペアを作成します。
このコマンドは、3072ビット暗号化で
cert.keyのファイル名の新しい秘密キーを生成します。openssl genrsa -out cert.key 30722048ビット暗号化もキーペアの生成で機能しますが、HPE OneViewがCNSAモードの場合、生成されたクライアント証明書は機能しません。
-
新しいキーペアを使用して、クライアント証明書の証明書署名リクエスト(CSR)を作成します。
このコマンドは、対話型プロンプトからのデータ入力を使用して、CSRを作成します。
openssl req -new -key cert.key -out cert.csrSCMBサーバーはこのユーザーからの接続を受け入れるように構成されているため、このコマンドの共通名は
rabbitmq_readonlyに設定する必要があります。これ以外のプロンプトに対しては、ユーザーの組織に適切な入力を指定します。 -
CAとの関係に対応する署名方法を使用して、SCMBサーバーへの接続に使用されるクライアント証明書を作成します。
- 商用エンティティまたはその他の組織によってCAが提供される場合は、CAによって提供される指示に従って、クライアント証明書に署名します。
- CAルート証明書とキーへの直接アクセスが可能な場合、機能するクライアント証明書に必要なオプションを使用して構成ファイル(
openssl.cnf)を作成します。以下に例を示します。[ client ] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment, dataEncipherment extendedKeyUsage = clientAuth, msSmartcardLogin nsCertType = client subjectAltName = @alt_names [ alt_names ] email = .クライアント証明書を指定するには、
basicConstraints、extendedKeyUsage:clientAuth、およびnsCertTypeフィールドのすべてが必要です。OpenSSLの担当者は、組織の要件と影響の理解に従って、その他の設定を適用できます。詳しくは、OpenSSLのドキュメントを参照してください。 - 作成した構成ファイルを使用して、CSRに署名し、クライアント証明書を生成します。以下に例を示します。
openssl x509 -req -CA ca.pem -CAkey ca.key -in cert.csr -out cert.pem -days 365 -set_serial 1 -extfile openssl.cnf -extensions client
-
CAルート証明書に加えて、SCMBクライアント証明書の署名に使用されるすべての中間CAは、アプライアンスによって信頼されていることを確認してください。アプライアンス上のSCMBサーバーは、証明書に署名したCAを信頼している場合にのみ、クライアント証明書を受け入れます。この信頼関係がまだ確立されていない場合、すぐに確立してください。
注記:
クライアントに署名した中間CA証明書は、アプライアンスではなく、クライアントプログラムに追加する必要があります。
- セキュリティ設定 > 認証機関証明書を管理に移動し、アプライアンスにCAを追加します。
SCMBサーバーへのすべてのアクティブな接続が中断されるため、再確立する必要があります。
- セキュリティ設定 > 認証機関証明書を管理に移動し、アプライアンスにCAを追加します。
- 任意のクライアントプログラムを使用して、アプライアンス上のSCMBサーバーに接続します。接続を成功させるには、手順1で作成したキーペア、手順3で作成したクライアント証明書、およびSCMBサーバー証明書と、クライアント証明書の署名で使用した中間CA証明書に署名したCAのルート証明書を含むCA証明書ファイルが必要です。
- SCMBサーバーに依然として接続できない場合は、以下のトラブルシューティング手順に従ってください。